wprowadzenie do zagadnien bezpieczenstwa i...
TRANSCRIPT
Wprowadzenie do zagadnien bezpieczenstwai kryptografii
Patryk Czarnik
Wydział Matematyki, Informatyki i MechanikiUniwersytet Warszawski
Bezpieczenstwo sieci komputerowych – MSUI 2010/11
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 1 / 54
Przedmiot
Przedmiot5×2 wykładów, poniedziałki 17:00, sala 4060Slajdy dostepne w sieci:http://www.mimuw.edu.pl/~czarnik/bsk
Egzamin testowy (głównie pytania wielokrotnego wyboru)
Wykładowcamgr Patryk Czarnikasystent @ Instytut Informatyki UWemail: czarnik at mimuw.edu.plpokój: 4580
MateriałyPlan wykładu i wiele materiałów odziedziczone po poprzednich edycjach odAleksego Schuberta i Sławomira Leszczynskiego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 2 / 54
Przedmiot
Przedmiot5×2 wykładów, poniedziałki 17:00, sala 4060Slajdy dostepne w sieci:http://www.mimuw.edu.pl/~czarnik/bsk
Egzamin testowy (głównie pytania wielokrotnego wyboru)
Wykładowcamgr Patryk Czarnikasystent @ Instytut Informatyki UWemail: czarnik at mimuw.edu.plpokój: 4580
MateriałyPlan wykładu i wiele materiałów odziedziczone po poprzednich edycjach odAleksego Schuberta i Sławomira Leszczynskiego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 2 / 54
Przedmiot
Przedmiot5×2 wykładów, poniedziałki 17:00, sala 4060Slajdy dostepne w sieci:http://www.mimuw.edu.pl/~czarnik/bsk
Egzamin testowy (głównie pytania wielokrotnego wyboru)
Wykładowcamgr Patryk Czarnikasystent @ Instytut Informatyki UWemail: czarnik at mimuw.edu.plpokój: 4580
MateriałyPlan wykładu i wiele materiałów odziedziczone po poprzednich edycjach odAleksego Schuberta i Sławomira Leszczynskiego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 2 / 54
Przedmiot
Prawdopodobny plan wykładu
Wprowadzenie do zagadnien bezpieczenstwa i kryptografii.Protokół IPSec.Protokół SSL.Protokół SSH.System Kerberos.Sciany ogniowe, maskarada, proxy.Bezpieczna poczta.SNMP.NIS, DHCP.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 3 / 54
Przedmiot
Materiały dodatkowe
LiteraturaW. Stallings, „Ochrona danych w sieci i intersieci”, WNT 1997B. Schneier, „Bezpieczenstwo poczty elektronicznej”, WNT 1996J. Stoklosa, T. Bilski, T. Pankowski, „Bezpieczenstwo danych wsystemach informatycznych”, PWN, Warszawa, 2001. . .
WWWWikipedia.orgSpecyfikacje standardów, głównie RFC:http://www.rfc-editor.org/
Artykuły, tutoriale . . .
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 4 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Zagadnienia bezpieczenstwa
Identyfikacja i uwierzytelnienieKontrola dostepuPoufnosc:
zabezpieczenie przed ujawnianiem trescizabezpieczenie przed analiza komunikacji
Integralnosc danychNiezaprzeczalnoscOchrona praw autorskichPoprawnosc oprogramowaniaDyspozycyjnosc usług
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 5 / 54
Zagadnienia bezpieczenstwa
Ochrona systemów komputerowych
Fizyczna ochrona sprzetu przed niepowołanym dostepemWłasciwa konfiguracja systemu
reguła: udostepnamy tylko to, co potrzebneTworzenie oprogramowania zgodnie z regułami sztuki
np. nieuzywanie gets() w C
Bezpieczne protokoły siecioweKryptografiaZwykle najsłabszy punkt – człowiek
wybór i ochrona hasełstosowanie sie do ustalonych zasad bezpieczenstwa
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 6 / 54
Zagadnienia bezpieczenstwa
Ochrona systemów komputerowych
Fizyczna ochrona sprzetu przed niepowołanym dostepemWłasciwa konfiguracja systemu
reguła: udostepnamy tylko to, co potrzebneTworzenie oprogramowania zgodnie z regułami sztuki
np. nieuzywanie gets() w C
Bezpieczne protokoły siecioweKryptografiaZwykle najsłabszy punkt – człowiek
wybór i ochrona hasełstosowanie sie do ustalonych zasad bezpieczenstwa
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 6 / 54
Zagadnienia bezpieczenstwa
Ochrona systemów komputerowych
Fizyczna ochrona sprzetu przed niepowołanym dostepemWłasciwa konfiguracja systemu
reguła: udostepnamy tylko to, co potrzebneTworzenie oprogramowania zgodnie z regułami sztuki
np. nieuzywanie gets() w C
Bezpieczne protokoły siecioweKryptografiaZwykle najsłabszy punkt – człowiek
wybór i ochrona hasełstosowanie sie do ustalonych zasad bezpieczenstwa
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 6 / 54
Zagadnienia bezpieczenstwa
Ochrona systemów komputerowych
Fizyczna ochrona sprzetu przed niepowołanym dostepemWłasciwa konfiguracja systemu
reguła: udostepnamy tylko to, co potrzebneTworzenie oprogramowania zgodnie z regułami sztuki
np. nieuzywanie gets() w C
Bezpieczne protokoły siecioweKryptografiaZwykle najsłabszy punkt – człowiek
wybór i ochrona hasełstosowanie sie do ustalonych zasad bezpieczenstwa
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 6 / 54
Zagadnienia bezpieczenstwa
Ochrona systemów komputerowych
Fizyczna ochrona sprzetu przed niepowołanym dostepemWłasciwa konfiguracja systemu
reguła: udostepnamy tylko to, co potrzebneTworzenie oprogramowania zgodnie z regułami sztuki
np. nieuzywanie gets() w C
Bezpieczne protokoły siecioweKryptografiaZwykle najsłabszy punkt – człowiek
wybór i ochrona hasełstosowanie sie do ustalonych zasad bezpieczenstwa
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 6 / 54
Zagadnienia bezpieczenstwa
Ochrona systemów komputerowych
Fizyczna ochrona sprzetu przed niepowołanym dostepemWłasciwa konfiguracja systemu
reguła: udostepnamy tylko to, co potrzebneTworzenie oprogramowania zgodnie z regułami sztuki
np. nieuzywanie gets() w C
Bezpieczne protokoły siecioweKryptografiaZwykle najsłabszy punkt – człowiek
wybór i ochrona hasełstosowanie sie do ustalonych zasad bezpieczenstwa
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 6 / 54
Zagadnienia bezpieczenstwa
Własciwe podejscie do ochrony
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Nalezy stosowac aktualne rozwiazania (algorytm, rozmiar klucza)
Uwaga socjologiczna
Stosowanie bezpiecznych rozwiazan nie moze byc na tyleniewygodne, aby skłaniało uzytkowników do ich obchodzenia.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 7 / 54
Zagadnienia bezpieczenstwa
Własciwe podejscie do ochrony
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Nalezy stosowac aktualne rozwiazania (algorytm, rozmiar klucza)
Uwaga socjologiczna
Stosowanie bezpiecznych rozwiazan nie moze byc na tyleniewygodne, aby skłaniało uzytkowników do ich obchodzenia.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 7 / 54
Zagadnienia bezpieczenstwa
Własciwe podejscie do ochrony
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Nalezy stosowac aktualne rozwiazania (algorytm, rozmiar klucza)
Uwaga socjologiczna
Stosowanie bezpiecznych rozwiazan nie moze byc na tyleniewygodne, aby skłaniało uzytkowników do ich obchodzenia.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 7 / 54
Zagadnienia bezpieczenstwa
Własciwe podejscie do ochrony
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Nalezy stosowac aktualne rozwiazania (algorytm, rozmiar klucza)
Uwaga socjologiczna
Stosowanie bezpiecznych rozwiazan nie moze byc na tyleniewygodne, aby skłaniało uzytkowników do ich obchodzenia.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 7 / 54
Zagadnienia bezpieczenstwa
Kryptologia
Nauka o przekazywaniu informacji w sposób zabezpieczony przedniepowołanym dostepem
Podziałkryptografia tworzenie systemów zabezpieczen
kryptoanaliza łamanie systemów zabezpieczen
Niektóre załozenia kryptografii
złozonosc – pewne problemy sa trudno rozwiazywalneprawdopodobienstwo – losowosc dostepna w komputerachmechanika kwantowa – nie mozemy dokładnie okreslic stanuczastek elementarnych
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 8 / 54
Zagadnienia bezpieczenstwa
Kryptologia
Nauka o przekazywaniu informacji w sposób zabezpieczony przedniepowołanym dostepem
Podziałkryptografia tworzenie systemów zabezpieczen
kryptoanaliza łamanie systemów zabezpieczen
Niektóre załozenia kryptografii
złozonosc – pewne problemy sa trudno rozwiazywalneprawdopodobienstwo – losowosc dostepna w komputerachmechanika kwantowa – nie mozemy dokładnie okreslic stanuczastek elementarnych
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 8 / 54
Zagadnienia bezpieczenstwa
Kryptologia
Nauka o przekazywaniu informacji w sposób zabezpieczony przedniepowołanym dostepem
Podziałkryptografia tworzenie systemów zabezpieczen
kryptoanaliza łamanie systemów zabezpieczen
Niektóre załozenia kryptografii
złozonosc – pewne problemy sa trudno rozwiazywalneprawdopodobienstwo – losowosc dostepna w komputerachmechanika kwantowa – nie mozemy dokładnie okreslic stanuczastek elementarnych
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 8 / 54
Poufnosc Szyfry ogólnie
Poufnosc
Do zapewnienia poufnosci informacji korzystamy z szyfrów.
Podział szyfrówSzyfry symetryczne
blokowestrumieniowe
Szyfry asymetryczne (kryptografia klucza publicznego)
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 9 / 54
Poufnosc Szyfry ogólnie
Poufnosc
Do zapewnienia poufnosci informacji korzystamy z szyfrów.
Podział szyfrówSzyfry symetryczne
blokowestrumieniowe
Szyfry asymetryczne (kryptografia klucza publicznego)
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 9 / 54
Poufnosc Szyfry ogólnie
Szyfr
Szyfr symetryczny to para funkcji:szyfrujacej
E : K ×M → C
deszyfrujacejD : K × C → M
taka, ze dla kazdego klucza k i kazdej wiadomosci m musi zachodzic
D(k ,E(k ,m)) = m
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 10 / 54
Poufnosc Szyfry ogólnie
Oczekiwane własnosci szyfrów
Aby szyfr zapewniał bezpieczenstwo, musimy na funkcje szyfrujacanałozyc dodatkowe ograniczenia. Mozna je sformalizowac na kilkasposobów.
Najmocniejsza własnosc to bezpieczenstwo bezwarunkowe.
Znajomosc szyfrogramu nie ujawnia zadnej informacjio odpowiadajacym mu tekscie jawnym.
W jezyku bardziej formalnym:
Entropia tekstu jawnego jest taka sama przed jak i po poznaniuszyfrogramu.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 11 / 54
Poufnosc Szyfry ogólnie
Oczekiwane własnosci szyfrów
Aby szyfr zapewniał bezpieczenstwo, musimy na funkcje szyfrujacanałozyc dodatkowe ograniczenia. Mozna je sformalizowac na kilkasposobów.
Najmocniejsza własnosc to bezpieczenstwo bezwarunkowe.
Znajomosc szyfrogramu nie ujawnia zadnej informacjio odpowiadajacym mu tekscie jawnym.
W jezyku bardziej formalnym:
Entropia tekstu jawnego jest taka sama przed jak i po poznaniuszyfrogramu.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 11 / 54
Poufnosc Szyfry ogólnie
Oczekiwane własnosci szyfrów
Aby szyfr zapewniał bezpieczenstwo, musimy na funkcje szyfrujacanałozyc dodatkowe ograniczenia. Mozna je sformalizowac na kilkasposobów.
Najmocniejsza własnosc to bezpieczenstwo bezwarunkowe.
Znajomosc szyfrogramu nie ujawnia zadnej informacjio odpowiadajacym mu tekscie jawnym.
W jezyku bardziej formalnym:
Entropia tekstu jawnego jest taka sama przed jak i po poznaniuszyfrogramu.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 11 / 54
Poufnosc Szyfry ogólnie
Własnosci semanycznego bezpieczenstwa
Słabszymi własnosciami sa własnosci semantycznegobezpieczenstwa, zwykle definiowane jako nierozróznialnosc zewzgledu na atak okreslonego rodzaju.
Atak kryptologiczny
Działanie majace na celu złamanie zabezpieczenkryptograficznych.W skrajnych przypadkach umozliwia poznanie tajnego klucza,odczytanie zaszyfrowanej informacji lub podszycie sie.Niepozadane jest jakiekolwiek osłabienie bezpieczenstwabezwarunkowego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 12 / 54
Poufnosc Szyfry ogólnie
Własnosci semanycznego bezpieczenstwa
Słabszymi własnosciami sa własnosci semantycznegobezpieczenstwa, zwykle definiowane jako nierozróznialnosc zewzgledu na atak okreslonego rodzaju.
Atak kryptologiczny
Działanie majace na celu złamanie zabezpieczenkryptograficznych.W skrajnych przypadkach umozliwia poznanie tajnego klucza,odczytanie zaszyfrowanej informacji lub podszycie sie.Niepozadane jest jakiekolwiek osłabienie bezpieczenstwabezwarunkowego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 12 / 54
Poufnosc Szyfry ogólnie
Czesto rozwazane rodzaje ataków
atak ze znanym szyfrogramem (oczywisty)atak siłowy (brute force),analiza statystyczna,
atak ze znanym tekstem jawnym(na ogół łatwy do przeprowadzenia),atak z wybranym tekstem jawnym (łatwy w przypadku kluczapublicznego)atak z wybranym szyfrogramem (wymaga dostepu do maszynydeszyfrujacej)
atak na hasło (słownikowy, „socjalny”),atak „człowiek w srodku”(dotyczy protokołów komunikacyjnych,a nie samych algorytmów kryptograficznych)
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 13 / 54
Poufnosc Szyfry ogólnie
Atak z wybranym tekstem jawnym
Atakujacy (Bartek) ma dostep do maszyny szyfrujacej, tj. mozewielokrotnie wybrac tekst jawny i poznac jego szyfrogram.Korzystajac z tego stara sie uzyskac informacje, które pozwola muobnizyc bezpieczenstwo mechanizmu (np. tajny klucz).Własnosc krytyczna dla mechanizmów opartych o klucz publiczny.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 14 / 54
Poufnosc Szyfry ogólnie
Nierozróznialnosc zwn. atak z wyb. tekstem jawnym
Po wykonaniu powyzszego ataku tak mozna sprawdzic własnoscnierozróznialnosci:
Alicja posiada maszyne szyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwie rózne wiadomosci m1 i m2.Alicja rzuca moneta. W zaleznosci od wyniku szyfruje wiadomoscm1 lub m2 i wysyła szyfrogram do Bartka.Bartek próbuje odgadnac szyfrogram której wiadomosci otrzymał.
Jesli Bartek nie jest w stanie odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
2 , własnoscnierozróznialnosci zachodzi.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 15 / 54
Poufnosc Szyfry ogólnie
Nierozróznialnosc zwn. atak z wyb. tekstem jawnym
Po wykonaniu powyzszego ataku tak mozna sprawdzic własnoscnierozróznialnosci:
Alicja posiada maszyne szyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwie rózne wiadomosci m1 i m2.Alicja rzuca moneta. W zaleznosci od wyniku szyfruje wiadomoscm1 lub m2 i wysyła szyfrogram do Bartka.Bartek próbuje odgadnac szyfrogram której wiadomosci otrzymał.
Jesli Bartek nie jest w stanie odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
2 , własnoscnierozróznialnosci zachodzi.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 15 / 54
Poufnosc Szyfry ogólnie
Atak z wybranym szyfrogramem
Atakujacy (Bartek) ma dostep do maszyny deszyfrujacej, tj. mozewielokrotnie wybrac szyfrogram i poznac odpowiadajacy mu tekstjawny.Korzystajac z tego stara sie uzyskac informacje, które pozwola muobnizyc bezpieczenstwo mechanizmu (np. tajny klucz).Atakiem tego rodzaju jest takze taki, gdy atakujacy mozeodszyfrowac tylko niektóre szyfrogramy.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 16 / 54
Poufnosc Szyfry ogólnie
Nierozróznialnosc zwn. atak z wyb. szyfrogramem
Po wykonaniu ataku tak mozna sprawdzic własnosc nierozróznialnosci:
Alicja posiada maszyne deszyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwa rózne (poprawne) szyfrogramy s1 i s2.Alicja rzuca moneta. W zaleznosci od wyniku deszyfrujeszyfrogram s1 lub s2 i wysyła odszyfrowana wiadomosc do Bartka.Bartek próbuje odgadnac wiadomosc odpowiadajaca któremuszyfrogramowi otrzymał.
Jesli Bartek nie potrafi odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
2 , własnoscnierozróznialnosci zachodzi.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 17 / 54
Poufnosc Szyfry ogólnie
Nierozróznialnosc zwn. atak z wyb. szyfrogramem
Po wykonaniu ataku tak mozna sprawdzic własnosc nierozróznialnosci:
Alicja posiada maszyne deszyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwa rózne (poprawne) szyfrogramy s1 i s2.Alicja rzuca moneta. W zaleznosci od wyniku deszyfrujeszyfrogram s1 lub s2 i wysyła odszyfrowana wiadomosc do Bartka.Bartek próbuje odgadnac wiadomosc odpowiadajaca któremuszyfrogramowi otrzymał.
Jesli Bartek nie potrafi odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
2 , własnoscnierozróznialnosci zachodzi.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 17 / 54
Poufnosc Szyfry ogólnie
Klasyfikacja ataków ze wzgledu na adaptywnosc
Ataki powyzszych rodzajów dodatkowo dzieli sie ze wzgledu naadaptywnosc (wynikajaca czesto z czasu dostepu do maszyny).
Atak nieadaptywny (lunchtime attack) – atakujacy ma uprzednioprzygotowany zestaw wiadomosci / szyfrogramów.Atak adaptywny (midnight attack) – atakujacy moze na biezacopreparowac nowe wiadomosci / szyfrogramy.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 18 / 54
Poufnosc Szyfry symetryczne
Szyfry symetryczne
Ten sam klucz uzywany do szyfrowania jak i deszyfrowania(ewentualnie istnieje łatwy sposób na otrzymanie kluczadeszyfrujacego z klucza szyfrujacego).Stosowane od bardzo dawna. Jako przykład jednego zpierwszych szyfrów podaje sie szyfr Cezara.Działaja na zasadzie jak najwiekszego zagmatwania.Sa efektywne:
szyfrowanie i deszyfrowanie przebiega bardzo szybko,uzywane klucze sa małe – aktualnie 128–256 bitów.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 19 / 54
Poufnosc Szyfry symetryczne
Szyfry blokowe i strumieniowe
Szyfry symetryczne mozna podzielic na dwie kategorie:szyfry blokowe – szyfrowane sa bloki danych,szyfry strumieniowe – szyfrowanie nastepuje bit po bicie.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 20 / 54
Poufnosc Szyfry symetryczne
Zasady konstrukcji szyfrów blokowych
Schemat FeistelNajbardziej powszechny schemat budowy szyfru w oparciu o funkcjejednej „rundy”. Idea:
Na bloku do zaszyfrowania wykonywanych jest sukcesywnie wielerund tego samego przekształcenia, ale z róznymi kluczami.Runda składa sie ze złozenia prostych operacji, które same wsobie nie sa wystarczajaco bezpieczne (np. przekształcenialiniowe, translacje, podstawienia).Klucze dla poszczególnych rund sa generowane przez ekspansjeklucza głównego.
Tryby szyfrowaniaDodatkowo szyfrowania kolejnych bloków dokonuje sie w trybachECB, CBC, CFB, OFB itp.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 21 / 54
Poufnosc Szyfry symetryczne
Zasady konstrukcji szyfrów blokowych
Schemat FeistelNajbardziej powszechny schemat budowy szyfru w oparciu o funkcjejednej „rundy”. Idea:
Na bloku do zaszyfrowania wykonywanych jest sukcesywnie wielerund tego samego przekształcenia, ale z róznymi kluczami.Runda składa sie ze złozenia prostych operacji, które same wsobie nie sa wystarczajaco bezpieczne (np. przekształcenialiniowe, translacje, podstawienia).Klucze dla poszczególnych rund sa generowane przez ekspansjeklucza głównego.
Tryby szyfrowaniaDodatkowo szyfrowania kolejnych bloków dokonuje sie w trybachECB, CBC, CFB, OFB itp.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 21 / 54
Zródło: Wikipedia
Poufnosc Szyfry symetryczne
Tryb ECB (Electronic Code Book)
Jeden blok tekstu jawnego jest przekształcany za pomocaprzekształcenia szyfrujacego na jeden blok tekstu zaszyfrowanego.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 23 / 54
Poufnosc Szyfry symetryczne
Tryb ECB (Electronic Code Book)
Jeden blok tekstu jawnego jest przekształcany za pomocaprzekształcenia szyfrujacego na jeden blok tekstu zaszyfrowanego.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 23 / 54
Poufnosc Szyfry symetryczne
Tryb ECB – wady
jednakowe bloki tekstu jawnego daja jednakowy szyfrogram,mozliwa analiza statystyczna szyfrogramu.
Zródło: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 24 / 54
Poufnosc Szyfry symetryczne
Tryb ECB – wady
jednakowe bloki tekstu jawnego daja jednakowy szyfrogram,mozliwa analiza statystyczna szyfrogramu.
Zródło: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 24 / 54
Poufnosc Szyfry symetryczne
Tryb CBC (Cipher Block Chaining)
Na kazdym kolejnym bloku tekstu jawnego jest wykonywana operacjaXOR z poprzednio uzyskanym blokiem zaszyfrowanym i tak uzyskanywynik jest poddawany szyfrowaniu. Wymaga wektora inicjujacegostan.
Zródło obrazków: WikipediaPatryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 25 / 54
Poufnosc Szyfry symetryczne
Tryb CBC (Cipher Block Chaining)
Na kazdym kolejnym bloku tekstu jawnego jest wykonywana operacjaXOR z poprzednio uzyskanym blokiem zaszyfrowanym i tak uzyskanywynik jest poddawany szyfrowaniu. Wymaga wektora inicjujacegostan.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 25 / 54
Poufnosc Szyfry symetryczne
Tryb CFB (Cipher Feedback)
Szyfrowany jest szyfrogram z poprzedniego bloku, jawny tekst jestXOR-owany z wynikiem tego szyfrowania.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 26 / 54
Poufnosc Szyfry symetryczne
Tryb CFB (Cipher Feedback)
Szyfrowany jest szyfrogram z poprzedniego bloku, jawny tekst jestXOR-owany z wynikiem tego szyfrowania.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 26 / 54
Poufnosc Szyfry symetryczne
OFB (Output Feedback)
Podobne do CFB, ale dane wejsciowe nie sa brane pod uwage przygenerowaniu nastepnego bloku do szyfrowania.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 27 / 54
Poufnosc Szyfry symetryczne
OFB (Output Feedback)
Podobne do CFB, ale dane wejsciowe nie sa brane pod uwage przygenerowaniu nastepnego bloku do szyfrowania.
Zródło obrazków: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 27 / 54
Poufnosc Szyfry symetryczne
Klasyfikacja szyfrów strumieniowych
Z jednorazowym strumieniem kluczy – one time pad,Synchroniczne – strumien kluczy jest generowany niezaleznie odtekstu jawnego i szyfrogramu.Samosynchronizujace – strumien kluczy jest generowany jakofunkcja klucza głównego oraz pewnego fragmentu ostatniozaszyfrowanych/odszyfrowanych danych.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 28 / 54
Poufnosc Szyfry symetryczne
Własnosci strumieniowych szyfrów synchronicznych
Nadawca i odbiorca musza byc zsynchronizowani.Brak propagacji błedów – zmodyfikowanie fragmentu szyfrogramunie ma wpływu na wynik deszyfrowania pozostałych danych.Mozliwe sa ataki aktywne (wstawienie, usuwanie lub powtarzaniedanych) korzystajace z powyzszych własnosci.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 29 / 54
Poufnosc Szyfry symetryczne
Własnosci strumieniowych szyfrówsamosynchronizujacych
Samosynchronizacja.Ograniczona propagacja błedów.Trudniejsze ataki aktywne – modyfikacja jednego bitu szyfrogramuma wpływ na pewna liczbe bitów tekstu po odszyfrowaniu.Rozpraszanie tekstu jawnego – kazdy bit tekstu jawnego mawpływ na to, jak zostana zaszyfrowane bity nastepujace po nim.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 30 / 54
Poufnosc Szyfry symetryczne
Najbardziej znane szyfry symetryczne blokowe
DES (Data Encryption Standard) – Feistell(M=64, K=56, C=64)FEAL (Fast Data Encryption Algorithm) – Feistell(M=64, K=64, C=64)IDEA (International Data Encryption Standard) – Feistell(M=64, K=128, C=64)SAFER (Secure And Fast Encryption Routine)(M=64, K=64, C=64)RC5(zmienne)AES/Rijndael (Advanced Encryption Standard)(M=128, K=128–192–256, C=128)
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 31 / 54
Poufnosc Szyfry symetryczne
Najbardziej znane szyfry symetryczne strumieniowe
Szyfry bazujace na LFSR (Linear Feedback Shift Registers).SEAL (1993) – addytywny szyfr binarny bazujacy na funkcjipseudolosowej zaprojektowany do efektywnej implementacjisoftwarowej.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 32 / 54
Szyfry asymetryczne
Szyfry asymetryczne
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 33 / 54
Szyfry asymetryczne
Szyfry asymetryczne
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 33 / 54
Szyfry asymetryczne
Szyfry asymetryczne
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 33 / 54
Szyfry asymetryczne
Szyfry asymetryczne
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 33 / 54
Szyfry asymetryczne
Szyfry asymetryczne
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 33 / 54
Szyfry asymetryczne
Matematyczne podstawy szyfrów asymetrycznych
Faktoryzacja liczb naturalnychMnozenie liczb szybkieFaktoryzacja (dla duzychczynników pierwszych) trudnaAlgorytm RSA, szyfr Rabina
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 34 / 54
Szyfry asymetryczne
Matematyczne podstawy szyfrów asymetrycznych
Faktoryzacja liczb naturalnychMnozenie liczb szybkieFaktoryzacja (dla duzychczynników pierwszych) trudnaAlgorytm RSA, szyfr Rabina
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 34 / 54
Szyfry asymetryczne
Matematyczne podstawy szyfrów asymetrycznych
Faktoryzacja liczb naturalnychMnozenie liczb szybkieFaktoryzacja (dla duzychczynników pierwszych) trudnaAlgorytm RSA, szyfr Rabina
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 34 / 54
Szyfry asymetryczne
Matematyczne podstawy szyfrów asymetrycznych
Faktoryzacja liczb naturalnychMnozenie liczb szybkieFaktoryzacja (dla duzychczynników pierwszych) trudnaAlgorytm RSA, szyfr Rabina
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 34 / 54
Szyfry asymetryczne
Kryptografia klucza publicznego
Załozenie o wykorzystywaniu pary kluczy (prywatnego i publicznego)nie jest specyficzne tylko dla systemów szyfrujacych. Takze innepodstawowe mechanizmy kryptograficzne moga zyskac opierajacswoje działanie na takim załozeniu.Kryptografie wykorzystujaca dualnosc kluczy nazywamy kryptografiaklucza publicznego w odróznieniu od kryptografii kluczasekretnego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 35 / 54
Uwierzytelnianie
Uwierzytelnianie
Uwierzytelnianie to tak naprawde dwa zagadnienia:
protokół identyfikacji – sprawdzenie, ze uczestnicy protokołu satymi, za których sie podajaweryfikacja integralnosci danych – zapewnienie, ze danepochodza od własciwego uczestnika protokołu i nie zostały przeznikogo zmodyfikowane „po drodze”
W pierwszym przypadku wymagamy, aby uczestnik protokołu byłdostepny w momencie uwierzytelniania, natomiast w drugimprzypadku to wymaganie jest zbedne.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 36 / 54
Uwierzytelnianie
Uwierzytelnianie
Uwierzytelnianie to tak naprawde dwa zagadnienia:
protokół identyfikacji – sprawdzenie, ze uczestnicy protokołu satymi, za których sie podajaweryfikacja integralnosci danych – zapewnienie, ze danepochodza od własciwego uczestnika protokołu i nie zostały przeznikogo zmodyfikowane „po drodze”
W pierwszym przypadku wymagamy, aby uczestnik protokołu byłdostepny w momencie uwierzytelniania, natomiast w drugimprzypadku to wymaganie jest zbedne.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 36 / 54
Uwierzytelnianie Identyfikacja
Protokoły identyfikacji
Protokół identyfikacji to protokół miedzy dwoma uczestnikami:dowodzacym P i weryfikujacym V. Celem protokołu jest
sprawdzenie przez V czy P jest rzeczywiscie tym, za kogo sie podaje.
Oczekiwane własnoscipoprawnosc – jesli P jest rzeczywiscie tym, za kogo sie podaje,to protokół zakonczy działanie z wynikiem prawdatransferowalnosc – V nie moze wykorzystac informacji zdobytejpodczas wykonania protokołu do podszycia sie pod Pnie podszywanie sie – prawdopodobienstwo tego, ze przywykonaniu protokołu P uda sie podszyc za kogos innego jestzaniedbywalne
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 37 / 54
Uwierzytelnianie Identyfikacja
Protokoły identyfikacji
Protokół identyfikacji to protokół miedzy dwoma uczestnikami:dowodzacym P i weryfikujacym V. Celem protokołu jest
sprawdzenie przez V czy P jest rzeczywiscie tym, za kogo sie podaje.
Oczekiwane własnoscipoprawnosc – jesli P jest rzeczywiscie tym, za kogo sie podaje,to protokół zakonczy działanie z wynikiem prawdatransferowalnosc – V nie moze wykorzystac informacji zdobytejpodczas wykonania protokołu do podszycia sie pod Pnie podszywanie sie – prawdopodobienstwo tego, ze przywykonaniu protokołu P uda sie podszyc za kogos innego jestzaniedbywalne
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 37 / 54
Uwierzytelnianie Identyfikacja
Warunek nie podszywania sie
Warunek nie podszywania sie powinien byc spełniony nawet jeslipodszywajacy sie uczestniczył w wielu protokołach identyfikacji
zarówno z P jak i V oraz wiele sesji protokołu działa w tym samymczasie.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 38 / 54
Uwierzytelnianie Identyfikacja
Kategorie protokołów identyfikacji
Obecnie istniejace protokoły identyfikacji mozna podzielic nanastepujace kategorie:
słabe uwierzytelnianie (hasła, PIN itp.),raz podsłuchane hasło moze byc pózniej uzyte,nawet jesli wysyłane jest w postaci zaszyfrowanej!
protokoły typu wyzwanie – odpowiedz (challenge—response):pytanie o losowa informacje z duzego zbioru (małeprawdopodobienstwo powtórzen),hasła jednorazowe,
protokoły z wiedza zerowa.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 39 / 54
Uwierzytelnianie Identyfikacja
Kategorie protokołów identyfikacji
Obecnie istniejace protokoły identyfikacji mozna podzielic nanastepujace kategorie:
słabe uwierzytelnianie (hasła, PIN itp.),raz podsłuchane hasło moze byc pózniej uzyte,nawet jesli wysyłane jest w postaci zaszyfrowanej!
protokoły typu wyzwanie – odpowiedz (challenge—response):pytanie o losowa informacje z duzego zbioru (małeprawdopodobienstwo powtórzen),hasła jednorazowe,
protokoły z wiedza zerowa.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 39 / 54
Uwierzytelnianie Identyfikacja
Kategorie protokołów identyfikacji
Obecnie istniejace protokoły identyfikacji mozna podzielic nanastepujace kategorie:
słabe uwierzytelnianie (hasła, PIN itp.),raz podsłuchane hasło moze byc pózniej uzyte,nawet jesli wysyłane jest w postaci zaszyfrowanej!
protokoły typu wyzwanie – odpowiedz (challenge—response):pytanie o losowa informacje z duzego zbioru (małeprawdopodobienstwo powtórzen),hasła jednorazowe,
protokoły z wiedza zerowa.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 39 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Przykład przedszkolny
Zródło: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 40 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Przykład przedszkolny
Zródło: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 40 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Przykład przedszkolny
Zródło: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 40 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Przykład przedszkolny
Zródło: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 40 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 41 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 41 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 41 / 54
Uwierzytelnianie Identyfikacja
Protokoły z wiedza zerowa
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 41 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Bezpieczne funkcje haszujace – definicja
Bezpieczna funkcja haszujaca to funkcja
h : {0,1}∗ → {0,1}n
taka, ze trudne („obliczeniowo niewykonalne”) jest:dla ustalonego c ∈ {0,1}n znalezienie takiego m, ze h(m) = c(„funkcja jednokierunkowa”),znalezienie dwóch ciagów m1 i m2 takich, ze h(m1) = h(m2).
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 42 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Bezpieczne funkcje haszujace – zastosowania
Pozwalaja one dokonac „kompresji” danych w taki sposób, aby niepopsuc bezpieczenstwa algorytmów, w których uczestnicza.
Zastosowania zwiazane z bezpieczenstwem
Podpisy cyfroweZapewnienie integralnosci danychZłozone protokoły kryptograficzne
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 43 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Bezpieczne funkcje haszujace – zastosowania
Pozwalaja one dokonac „kompresji” danych w taki sposób, aby niepopsuc bezpieczenstwa algorytmów, w których uczestnicza.
Zastosowania zwiazane z bezpieczenstwem
Podpisy cyfroweZapewnienie integralnosci danychZłozone protokoły kryptograficzne
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 43 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
MAC i MDC
MAC – Message Authentication CodeDo generowania oraz weryfikacji kodu potrzebny jest (ten sam)tajny klucz.
MDC – Modification Detection Code,MIC – Message Integrity Code
Nie wymaga tajnego klucza.Stosowane do kontroli integralnosci danych oraz w schematachpodpisów cyfrowych(wiadomosc→ MDC→ podpis).
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 44 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
MAC i MDC
MAC – Message Authentication CodeDo generowania oraz weryfikacji kodu potrzebny jest (ten sam)tajny klucz.
MDC – Modification Detection Code,MIC – Message Integrity Code
Nie wymaga tajnego klucza.Stosowane do kontroli integralnosci danych oraz w schematachpodpisów cyfrowych(wiadomosc→ MDC→ podpis).
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 44 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Pokrewne algorytmy
Oba rodzaje bezpiecznych funkcji haszujacych nalezy odróznic od:sum kontrolnych – które nie musza spełniac warunkówbezpieczenstwa (MDC jest suma kontrolna, ale nie kazda sumakontrolna jest MDC),podpisów cyfrowych opartych o klucz publiczny – w MAC jestjeden tajny klucz.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 45 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Budowa funkcji haszujacej z szyfru blokowego
Szyfr blokowy moze zostac wykorzystany do stworzeniabezpiecznej funkcji haszujacej.Warunek: kazdy ciag bitów długosci K jest dobrym kluczem.Popularny schemat na poziomie ciagu bloków:
Merkle-DamgårdPopularne schematy na poziomie pojedynczych bloków:
Davies-MeyerMatyas-Meyer-OseasMiyaguchi-Preneel
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 46 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Schemat Merkle-Damgård (cała wiadomosc)
Dla bezpieczenstwa w ostatnim bloku uzupełnienie zawierajacedługosc oryginalnej wiadomosci.
Zródło obrazka: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 47 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Schemat Davies-Meyer (pojedyncze bloki)
Zródło obrazka: Wikipedia
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 48 / 54
Uwierzytelnianie Bezpieczne funkcje haszujace
Najpopularniejsze bezpieczne funkcje haszujace
Algorytmy MDC:MDC-2 (hasz 128 bitów, IBM 1987),MDC-4 (hasz 128 bitów),MD4 (hasz 128 bitów, MIT 1990, obecnie bardzo słaba),MD5 (hasz 128 bitów, 1991, słaba),RIPEMD-160 (hasz 160 bitów, europejski),SHA-1 (hasz 160 bitów, pokazano schemat ataku oczasochłonnosci 263),SHA-2 (hasz 224/256/384/512 bitów, na razie uznawana zabezpieczna).
Schematy budowy MAC:HMAC – z funkcji haszujacej, np. HMAC-MD5, HMAC-SHA1CMAC – z szyfru blokowego,CBC-MAC – z szyfru blokowego,np. Data Authentication Algorithm (oparty o DES, standard ANSI),UMAC – z wielu szyfrów blokowych.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 49 / 54
Inne zagadnienia dotyczace bezpieczenstwa w sieci
Inne zagadnienia bezpieczenstwa w sieci
W sieciach komputerowych pojawiaja sie zagadnienia, dla którychtrudno jest znalezc satysfakcjonujace z praktycznego punktu widzeniarozwiazanie kryptograficzne. Naleza do nich:
ataki typu DOS (uniemozliwienie swiadczenia usług),niechciana poczta (spam),wirusy i robaki komputerowe.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 50 / 54
Inne zagadnienia dotyczace bezpieczenstwa w sieci
Inne zagadnienia bezpieczenstwa w sieci
Zaproponowane w ich przypadku rozwiazania wymagaja zbyt duzychzmian w istniejacej architekturze sieciowej.Czesto w takim przypadku bardziej efektywne okazuje siezdroworozsadkowe rozwiazanie praktyczne. Jako przykład takiegopodejscia mozna podac kwestie odrózniania człowieka odsymulujacego jego zachowanie programu komputerowego.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 51 / 54
Inne zagadnienia dotyczace bezpieczenstwa w sieci Złozone protokoły kryptograficzne
Złozone protokoły kryptograficzne
Protokoły tego typu rozwiazuja problemy, które musza spełniac wielewłasnosci bezpieczenstwa jednoczesnie. Przykłady:
protokoły głosowania elektronicznego,protokoły dzielenia sekretu i bezpiecznych obliczenrozproszonych,protokoły bezpiecznego rozsyłania grupowego,protokoły wspomagajace przestrzeganie praw autorskich (cyfroweznaki wodne),protokoły elektronicznej gotówki.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 52 / 54
Inne zagadnienia dotyczace bezpieczenstwa w sieci Złozone protokoły kryptograficzne
Przykład: Protokół elektronicznej gotówki
Podstawowe pozadane własnosci protokołu elektronicznej gotówki:
pieniadz moze byc emitowany tylko przez upowazniona instytucje,pieniedzy nie mozna powielac,pieniadz moze byc przekazywany pomiedzy stronami protokołu,pieniadz mozna rozmieniac,płatnosc pieniadzem elektronicznym zapewnia anonimowoscstronom transakcji.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 53 / 54
Inne zagadnienia dotyczace bezpieczenstwa w sieci Złozone protokoły kryptograficzne
Inne zagadnienia dotyczace bezpieczenstwa w sieci
Przykładowe dodatkowe własnosci protokołu elektronicznej gotówki.Niektóre z nich moga byc ze soba, lub z podstawowymi wymaganiami,sprzeczne.
Utrudnianie „prania brudnych pieniedzy”.Mozliwosc opodatkowania transakcji dokonywanych elektronicznagotówka.Mozliwosc dokonywania płatnosci nawet w przypadku, gdy stronynie maja dostepu do sieci.Mozliwosc identyfikacji i ewentualnie uniewaznienia pieniedzypochodzacych z przestepstwa.
Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 54 / 54